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ABSTRACT 

The invention relates to a method which ensures respect for data protection rights, 
especially as regards personal data which are available in a network with distributed 
memories. According to said method access rights to the data available in the network are 
distributed to owners, with the possibility of revocation, and the data are stored in the 
network only after authorization has been given by the owner holding the rights to the data. 
When certain data are requested only the references of those data records for which the 
requestor holds the access rights can be given. Data which are available but for which there 
are no access rights cannot be recognized. Should someone wish to access data the access 
rights can again be verified before access to said data is authorized. 
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Prufungsantrag gem. § 44 PatG ist gestellt 

@ Verfahren zum abgesicherten Zugriff auf Daten in einem Netzwerk 

® Durch das erfindungsgemafte Verfahren werden die 
Datenschutzrechte an insbesondere personenbezogenen 
Daten gewahrt, die in einem Netzwerk mit verteilten Spei- 
chern zur Verfugung stehen. Das Verfahren basiert auf der 
Vergabe mit Widerrufsmoglichkeit von Inhaber-Zugriffs- 
rechten auf die in dem Netzwerk zu r Verfugung stehenden 
Daten, sowie der Speicherung von Daten innerhalb des 
Netzwerkes nur nach Autorisierung durch den Inhaber 
der Rechte an den Daten. Bei einer Anfrage nach be- 
stimmten Daten konnen nur die Referenzen derjenigen 
Datensatze angegeben werden, auf die der Anfragende 
auch die Zugriffsrechte besitzt, wobei vorhandene Daten 
ohne Zugriffsrechte nicht erkannt werden konnen. Soli 
auf bestimmte Daten zugegriffen werden, so kann wieder- 
um eine Gberprufung der Zugriffsrechte erfolgen, bevor 
■ ein Datenzugriff erlaubt wird. 
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Beschreibung 

Die Erfindung belriff ein Verfahren zum abgesicherten 
Zugriff auf Daten in einem Netzwerk, im Speziellen in ei- 
nem Netzwerk mit einem Informationscenter und wenig- 5 
stens einem Datenraum-Zugriffssystem, wobei unter dem 
Begriff Datenraum-Zugriffssystem eine Einrichtung ver- 
standen wird, die Speicherplatz (Datenraum) zur Verfiigung 
stellt und den Zugriff auf gcspcichertc Daten crmoglicht. 

In der nahen Zukunft sollcn fiir untcrschicdliche Intercs- to 
sengruppen eines offentlichen oder privaten Sektors bei- 
spielsweise im Gesundheitswesen, etwa fur die Krankenkas- 
sen, das Gesundheitsministerium und medizinische Zusam- 
menschlusse, die sogenannten "Praxisnetze" entwickelt 
werden. Der Grundgedanke dieser Praxisnetze ist es, daB 15 
aufgrund einer besseren Kommunikation zwischen unter- 
schiedlichen Arztpraxen und/oder Krankenhausem zur Zeit 
haufig noch redundant ausgefiihrte medizinische Untersu- 
chungen reduziert werden konnen. In diesem Sinne ware es 
z. B. nicht notig, ein weiteres Rontgenbild einer Lunge eines 20 
Patienten zu erstellen, wenn eine erneute Diagnose z. B. ei- 
nes anderen Arztes unter Zuhilfenahme eines leicht zugang- 
lichen kurzlich aufgenommenen Rontgenbildes der Lunge 
dieses Patienten moglich ware. Es liegt im offentlichen In- 
teresse und dem der Vers icherungsgesellschaf ten, die Ge- 25 
sundheitskosten zu reduzieren, weswegen insbesondere 
lctzterc autonome medizinische Nctzwcrkc aufbaucn moch- 
len, mit deren Hilfe untcrschicdliche Arzte eines Patienten 
zu seiner besseren und kostengunstigeren medizinischen 
Versorgung auch auf die bereits von ihren Kollegen erstell- 30 
ten Daten dieses Patienten zugreifen konnen. 

Bei heute schon aufgebauten Versuchs model len besteht. 
das Hauptproblem darin, eine sichere Kommunikation zu 
gewahrleisten. Es sind unterschiedliche Losungen der Ver- 
bindung eines Arztes zu medizinischen Einheiten bekannt, 35 
die hauptsachlich auf eine bestimmte Gruppe von Arzten 
begrenzt sind, z. B. die Radiologen, wobei naturgemaB eine 
Beschrankung auf eine spezielle Art der Information/Daten 
vorgegeben ist, z. B. Rbntgenaufnahmen. 

Es existieren schon einige nationale und internationale 40 
Standards, die die Art der Erzeugung und Obertragung von 
medizinischen Daten definieren, z. B. DI-COM fur Ront- 
genaufnahmen, BDT fur die Daten eines Patienten, GDT fiir 
medizinische Daten, die von medizinischen Geriiten erzeugt 
wurden, z. B. von einem Elektrokardiographen oder anderen 45 
Einrichtungen. Hierbei werden hinsichtlich der abgesicher- 
ten Ubertragung von medizinischen Daten keinc speziellen 
Anforderungen gestcllt, da dies aufgrund untcrschicdlichcr 
bekannter Verschliisselungsmechanismen heute kein Pro- 
blem mehr ist. 50 

Eine besondere Aufgabe bei der Ubertragung von medizi- 
nischen Daten ist es, die individuellen Personlichkeitsrechte 
des Patienten zu gewahrleisten. Die heute praktizierte Uber- 
tragung von medizinischen Informationen ist immer dann il- 
legal, wenn sie nicht auf eine abgeschlossene medizinische 55 
Gruppe wie z. B. ein Krankenhaus oder eine Arztpraxis be- 
grenzt ist. Ein Praxisnetz mit hunderten verschiedener Pra- 
xen und Krankenhausem als abgeschlossene Gruppe zu be- 
zeichnen ware im rechtlichen Sinne wohl als eine Umge- 
hung der Personlichkeitsrechte von Patienten zu interpretie- 60 
ren. In diesem Fall hatte ein Patient keine Moglichkeit, alle 
Gruppenmitglieder zu kennen, und konnte von seinem 
Recht der Auswahl einer anderen Gruppe, wie z. B. eines 
anderen Krankenhauses, kaum Gebrauch machen. 

Demnach liegt der Erfindung die Aufgabe zugrunde, ein 65 
Verfahren zum abgesicherten Zugriff auf Daten in einem 
Netzwerk anzugeben, bei dem nur der Inhaber der Rcchte an 
den Daten frei uber diese verfugen kann. 



Ein solches Verfahren ist im Patentanspruch 1 angegeben. 
Vorteilhafte Weiterbildungen dieses Verfahrens finden sich 
in den Unteranspruchen 2 bis 16. 

Nach dem erfindungsgemaBen Verfahren kann allein der 
Inhaber der Rechte an bestimmten Daten Zugriffsrechte auf 
diese definieren. Die einmal gespeicherten Daten verbleiben 
an ihrcm Speicherplatz und werden nicht zcntralisicrt ge- 
sammelt. Ein Zugriff auf solche abgespcichcrlen Daten ist 
nur mit der Autorisicrung des Inhabers der Rechte an dicscn 
Daten moglich. Fiir medizinische Daten bedcutet dies z. B., 
daB sie an dem Ort ihrer Erstellung verbleiben und daB an- 
dere Arzte nur mit der Erlaubnis des jeweiligen Patienten 
auf diese Daten zugreifen konnen. Eine solche Erlaubnis 
kann allgemein fur bestimmte Arzte oder auch nur fiir den 
Einzelfall erteilt werden. Auch ist es moglich, eine einmal 
erteilte Erlaubnis wieder zu entziehen. 

Die Erfindung und vorteilhafte Weiterbildung werden 
nachfolgend anhand eines Beispiels unter Bezugnahme auf 
die Zeichnungen naher erlautert. Es zeigen: 

Fig. 1 einen beispielhaften Aufbau eines Netzwerks, in 
dem das erflndungsgemaBe Verfahren Anwendung finden 
kann; 

Fig. 2 die Erzeugung und Abspeicherung von Daten nach 
dem erfindungsgemaBen Verfahren; 

Fig. 3 ein Beispiel einer erfolglosen Anfrage nach be- 
stimmten Daten; 

Fig. 4 den Abruf und die Erteilung von Zugriffsrechtcn an 
bestimmten Daten durch den Inhaber der Rechte an dicscn 
Daten; 

Fig. 5 ein Beispiel einer erfolgreichen Anfrage nach Da- 
ten und ihrer Ubertragung an die anfragende Stelle. 

Im folgenden wird das erflndungsgemaBe Verfahren am 
Beispiel eines Praxisnetzes erlautert. Hier dient das System 
zur Versorgung einer Gruppe von Arzten mit den medizini- 
schen Unterlagen ihrer Patienten. 

Auf das System konnen mehrere Arzte zugreifen, die je- 
weils einen Zugang auf ein Datenraum-Zugriffssystem ha- 
ben miissen. Neben diesen Datenraum-Zugriffssystemen 
weist das System einen Informationscenter auf. In der Fig. 1 
ist dieses System zur Vereinfachung mit lediglich zwei Da- 
tenraum-Zugriffssystemen 1, 2 gezeigt, von denen eins eine 
Kennung DRZS 1 und das andere eine Kennung DRZS2 auf- 
weist. Solch ein Datenraum-Zugriffssystem 1, 2 kann am 
Arbeitsplatz eines oder mehrerer Arzte aufgebaut sein, z. B. 
ist in der Fig. 1 gezeigt, daB das Datenraum-Zugriffssystem 
2 in einer Arztpraxis eines Arztes B und das Datenraum-Zu- 
griffssystem 1 einem Krankenhaus aufgebaut sind, in dem 
ein Arzt A cine Zugriffsbcrcchtigung dafur besitzt. Jedcs 
Datenraum-Zugriffssystem 1, 2 kann iiber ein Netzwerk 4 
mit dem Informationscenter 3 oder einem anderen Daten- 
raum-Zugriffssystem 1, 2 kommunizieren. 

Jedes Datenraum-Zugriffssystem 1, 2 enthrall einen siche- 
ren Datenspeicher, in dem die medizinischen Daten von Pa- 
tienten gespeichert werden konnen. Dieser Speicher ist da- 
durch zugriffgesichert, daB ein Datenzugriff nur iiber das er- 
findungsgemaBe Verfahren erfolgen kann, wodurch ein Da- 
tenmiBbrauch mit in diesem Speicher gespeicherten Daten 
nicht moglich ist. Weiter ist durch das erflndungsgemaBe 
Verfahren gewahrleistet, daB nur neue Daten gespeichert 
werden konnen, also nicht solche, die bereits in einem ande- 
ren Datenraum-Zugriffssystem 1, 2 gespeichert waren. Wei- 
ter konnen sowohl der jeweilige Arzt als auch der Patient 
unabhangig voneinander iiber das Datenraum-Zugriffssy- 
stem 1, 2 mit dem Informationscenter 3 oder einem anderen 
an das Netzwerk 4 angeschlossenen Datenraum-Zugriffssy- 
stem 1, 2 kommunizieren, wobei nur ein Arzt Daten spei- 
chern kann. 

In dem Informationscenter 3 werden Referenzen zu den 
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Daten der Patienten und die dazugehorige Identifizierungs- 
information der Patienten und Arzte zentralisiert gespei- 
chert. 

Die Sicherheit der einzelnen Dateniibertragungen inner- 
halb dieses Systems wird iiber eine Ver senilis selling der Da- 
tenubertragungen zwischen alien Teilnehmern gewahrlei- 
stet. Hierbci wird jede innerhalb des Systems ubertragene 
Information mil einer digitalcn Signatur versehen. Bei je- 
dem Zugang wird cine Autorisierung verlangt, und alle Da- 
ten werden in vcrschlusseltcr Form ubertragen und gespci- 
chert. Jeder Teilnehmer, z. B. ein Arzt oder ein Patient, so- 
wie das Informationscenter und jedes Datenraum-Zugriffs- 
system verfugen iiber zwei Paare von offentlichen und ge- 
heimen Schliisseln zur Datenkodierung. Bin Paar dieser 
Schliissel, genannt die Verschliisselungsschliissel, wird fur 
die sichere Dateniibertragung verwendet und das andere, 
namlich die Signaturschlussel, versieht die ubertragene In- 
formation und bestatigt dadurch den Absender mit einer di- 
gitalen Signatur. Die geheimen Schliissel sind nur dem je- 
weiligen Teilnehmer, Informationscenter oder Datenraum- 
Zugriffssystem bekannt, wohingegen die offentlichen 
Schlussel alien Teilnehmern zuganglich sind, d. h., daB jeder 
in dem System vorhandene Teilnehmer die Moglichkeit hat, 
einen offentiichen Schlussel jedes anderen Teilnehmers zu 
bekommen. limner, wenn ein Teilnehmer eine Information 
iiber das Netzwerk versendet, wird das folgende Verfahren 
ausgefiihrt: 

1 . Der Sender versieht die von ihm gesendete Informa- 
tion mit einer digitalen Signatur, indem er seinen gehei- 
men Signaturschlussel verwendet. Hierdurch kann der 
Sender nicht nachgeahmt werden, wobei der Empfan- 
ger eine verwendete digitale Signatur mit Hi Ire des of- 
fentlichen Signaturschlussels best ati gen kann. Wenn 
z. B. ein Datenraum-ZugrifTssystem die Information 
iiber einen Patienten an das Informationscenter versen- 
det, muB diese Information bei der Erzeugung von Da- 
ten ebenfalls mit dem geheimen Signaturschlussel die- 
ses Patienten versehen sein. Hierdurch wird gesi chert, 
daB die Information wirklich zu dem benannten Patien- 
ten gehort, und daB dieser der Ubertragung dieser In- 
formation zustimmt. 

2. Der Sender verschliisselt alle ubertragenen Daten 
mittels eines offentlichen Verschliisseiungsschliissels 
des Empfangers, an den die Daten ubertragen werden. 
Hierdurch konnen diese ubertragenen Daten nur unter 
Vcrwendung des geheimen Verschlussclungsschliisscls 
des Empfangers cntschlusselt werden. 

3. Irnmer, wenn ein Teilnehmer auf das System zu- 
greift, muB er autorisiert sein und seine Identitat besta- 
tigt haben. Ein spezieller Datentrager, wie z. B. eine 
Chipkarte, kann zur Uberpriifung der Identitat des Teil- 
nehmers dienen. Natiirlich konnen auch andere Verfah- 
ren zur Personenidentifizierung eingesetzt werden, wie 
z. B. die Spracherkennung, die Bilderkennung, die Er- 
kennung von Fingerabdriicken etc., von denen jedes 
einzeln oder in Kombination eingesetzt werden kann. 

Als sicherer Speicher fur die geheimen Schlussel eines 
Teilnehmers und andere personliche Information kann eben- 
falls ein spezieller Datentrager, wie z. B. eine Chipkarte, 
eingesetzt werden. 

Die offentlichen Schlussel der Teilnehmer, des Informati- 
onscenter 3 und der einzelnen Datenraum-Zugriffssysteme 
1, 2 konnen z. B. zentral in dem Informationscenter 3 ge- 
speichert sein. 

Die Fig. 2 zcigt die Erzeugung von Daten eines Patienten 
und den Vorgang, wie diese Daten im System zur Verfiigung 



gestellt werden. 

Z. B. sucht der Patient N an einem Tag X den Arzt A auf 
und laBt eine neue medizinische Dateneinheit, z. B. ein 
Rontgenbild, erstellen. Wenn es der Patient N wiinscht, kann 
5 diese Dateneinheit iiber das Praxisnetz anderen Arzten zur 
Verfiigung gestellt werden. In diesem Fall werden die zu 
speichcrnden Daten des Rontgcnbildcs in einem erstcn 
Schritt SI in einer elektronischen Form zusammen mit ei- 
nem elcktronischen Formular, welches den Typ der Daten 

to enthalt, in dem Date nraum-Zugriffssy stem 1 mit der Kcn- 
nung DRZS1 des Arztes A gespeichert. Der Typ der Daten 
besteht hier in der Angabe, daB es sich um ein Rontgenbild 
des Patienten N handelt, das der Arzt A am Tag X aufge- 
nommen hat. Es ist auch moglich, daB der Typ der Daten le- 
ts diglich aus einer dieser Angaben besteht, oder daB noch 
weitere Angaben hinzugefugt werden, wie z. B. die Ken- 
nung DRZS1 des die Daten speichcrnden Datenraum-Zu- 
griffssystems 1. Die Daten des Rdntgenbildes werden zu- 
sammen mit dem elektronischen Formular in dem gesicher- 

20 ten Datenspeicher des Datenraum-ZugrifFssy stems 1 gespei- 
chert. Das Speichern von Daten ist nur bei einer Autorisie- 
rung des Inhabers der Rechte an diesen Daten moglich, 
hierzu kann z. B. die Chipkarte des Patienten dienen. 

In einem zweiten Schritt S2 wird das Informationscenter 

25 3 von dem Datenraum-ZugrifFssy stem 1 benachrichtigt, daB 
es neue Daten aufweist, namlich ein Rontgenbild des Patien- 
ten N. Eine solche Benachrichtigung kann entweder unmit- 
telbar nach der Speicherung der neucn Daten oder zu einem 
bestimmten Zeitpunkt geschehen, z. B. regelmaBig zu einer 

30 bestimmten Uhrzeit. Natiirlich ist es auch moglich, daB das 
Informationscenter 3 zu bestimmten Zeitpunkten Anfragen 
an jedes Datenraum-ZugrifTssystem 1, 2 schickt, ob neue 
Daten gespeichert wurden. 

In einem dritten Schritt S3 registriert das Tnformation- 

35 scenter 3 das Vorhandensein des Rontgenbilds des Patienten 
N vom Tag X mit der Verfiigbarkeit im Datenraum-ZugrifTs- 
system 1 und weist diesen Daten eine nur einfach vorhan- 
dene Identifizierung zu, z. B. NX AX, wonach diese Identifi- 
zierung mit einer benachrichtigenden Bestatigung vom In- 

40 formationscenter 3 an das Datenraum-ZugrifTssystem 1 
ubertragen wird. Im Datenraum-ZugrifTssystem 1 wird die 
so zugewiesene Identifizierung zur Verwaltung der zugeho- 
rigen Daten verwendet, indem diese zu den Daten hinzuge- 
fugt wird. Uber eine entsprechende Konfiguration kann ge- 

45 wahrleistet werden, daB Daten nicht mehrfach im System 
vorhanden sind. Spatestens mil der Registrierung der Daten 
durch das Informationscenter 3 erfolgt hier eine Ubcrprii- 
fung der Autorisierung der Datenspcichcrung durch den Pa- 
tienten. Im Falle der Nichtautorisierung werden keinem 

50 Teilnehmer Zugriffsrechte auf diese Daten gewahrt. 

In der Fig. 2, wie auch in den nachfolgenden Figuren be- 
deutet der hohle Pfeil eine Ubertragung von Daten in das 
System, daB heiBt die Speicherung neuer Daten in einem 
Datenraum-ZugrifTssystem 1, 2, und die normalen Pfeile je- 

55 weils eine Kommunikation iiber das Netzwerk 4, wie z. B. 
eine Anfrage oder Benachrichtigungen. Es kann also anhand 
der Fig. 2 erkannt werden, daB in dem beschriebenen Sy- 
stem die medizinischen Daten nicht in das Informationscen- 
ter 3 kopiert werden, sondern nach ihrer Speicherung immer 

60 im Datenraum-ZugrifTssystem 1 verbleiben. Das Informati- 
onscenter 3 halt nur die Referenzen zu diesen Daten und nie- 
mals die Daten selbst. Weiter wird in den Figuren eine Da- 
teniibertragung iiber das Netzwerk 4 mittels neben normalen 
Pfeilen dargestellten Rechtecken angezeigt, in denen die je- 

65 weils ubertragenen Daten angegeben sind. 

Die Fig. 3 zcigt den Versuch eines DatenzugrifTs iiber das 
Praxisnetz. 

An einem Tag Y besucht der Patient N einen Arzt B, der 
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ein Datenraum-Zugriffssystem 2 mit der Kennung DRZS2 
besitzt. Dieser Arzt B benotigt z. B. ein aktuelles Rontgen- 
bild des Patienten N. Deshalb schickt er in einem Schxitt S4 
von seinem Datenraum-Zugriffssystem 2 eine Anfrage nach 
Rontgenbildern des Patienten N an das Informationscenter 5 
3. Das Informationscenter 3 erstellt eine Liste der Referen- 
zen zu alien Rontgenbildern des Patienten N, die zur Zeit im 
Gesamtsystem vorhanden sind, d. h. in alien angeschlosse- 
nen Datcnraum-Zugriffssystcmcn 1, 2 gcspcichcrt sind und 
vom Informationscenter 3 rcgistricrt wurden. AnschlicBcnd io 
uberpriift das Informationscenter 3 die Zugriffsrechte an den 
in dieser Liste aufgefiihrten Daten hinsichtlich des Arztes B, 
von dem die Anfrage iiber Rontgenbilder des Patienten N 
kam, und iibertragt in einem Schritt S5 lediglich die Refe- 
renzen der Rontgenbilder des Patienten N, auf die der Arzt B 15 
die Zugriffsrechte vom Patienten N, der in diesem Fall der 
Inhaber der Rechte an seinen Daten ist, erteilt bekommen 
hat. Da in diesem Fall z. B. von dem Patienten N noch keine 
Zugriffsrechte fur seine Rontgenbilder definiert wurden, ist 
diese Liste leer. Deshalb sendet das Informationscenter 3 20 
eine Nachricht "Keine Daten gefunden" an das Datenraum- 
Zugriffssystem 2. Dieses gibt diese Nachricht an den Arzt B 
aus. 

Demnach kann ohne Zugriffsrechte des Patienten, der der 
Inhaber der Rechte an den gespeicherten Daten ist, kein Arzt 25 
das Vorhandensein der Daten im System erkennen. Eine 
Durchbrechung dieses fur bestimmte Daten, fur die im ein- 
zelnen Zugriffsrechte definiert wurden, sichcrcn Systems ist 
nur moglich, wenn der Patient N z. B. allgemeine Zugriffs- 
rechte auf seine gesamten Daten oder auf bestimmte Daten 30 
im voraus an bestimmte Arzte gegeben hat. Auch in diesem 
Fall hat aber der Patient, selbst bestirnmt, wer auf seine Da- 
ten zugreifen kann, also wurden auch hier seine Daten- 
schutzrechte gewahrt. 

Die Fig. 4 stellt die Definition von Zugriffsrechten des 35 
Patienten in dem Informationscenter 3 dar. 

Der Patient N kann in einem Schritt S6 z. B. iiber das Da- 
tenraum-Zugriffssystem 2 eine Liste aller seiner zur Zeit im 
Gesamtsystem zur Verfugung stehenden Daten vom Infor- 
mationscenter 3 abrufen. Alternativ kann er auch nur eine 40 
Liste von bestimmten Daten abrufen. In einem Schritt S7 
verarbeitet das Informationscenter diese Anfrage und sendet 
die jeweils geforderte Liste an das Datenraum-Zugriffssy- 
stem 2. Der Patient N kann jetzt Zugriffsrechte an den durch 
die Liste aufgezeigten Daten definiercn. Hat er z. B. eine Li- 45 
ste aller seiner Rontgenbilder angefordert, so kann er defi- 
nicren, daB der Arzt B und/odcr jeder andere Arzt oder cine 
bestimmte Gruppe von Arztcn auf das am Tag X vom Arzt A 
gefertigte Rontgenbild mit der Identifizierung NXAX zu- 
greifen kann. Ein solches Zugriffsrecht kann zeitlich be- 50 
grenzt oder unbegrenzt sein. Das Zugriffsrecht kann auch im 
voraus fur andere in der Zukunft zur Verfugung stehende 
Daten vergeben werden. Hat der Patient N alle gewiinschten 
Zugriffsrechte definiert, so kann er in einem Schritt S8 iiber 
das Datenraum-Zugriffssystem 2 eine Aktualisierung der 55 
Zugriffsrechte im Informationscenter 3 bewirken. Das In- 
formationscenter 3 speichert in einem Schritt S9 die Ande- 
rungen und sendet eine Bestatigung zuriick an das Daten- 
raum-Zugriffssystem 2. 

Diese Zugriffsrechte konnen alternativ auch zu dem Zeit- 60 
punkt vergeben werden, zu dem neue Daten in einem Daten- 
raum-Zugriffssystem 1, 2 gespeichert werden. Ein Patient 
oder sonstiger Inhaber von Rechten an in einem Datenraum- 
Zugriffssystem 1, 2 gespeicherten Daten kann Zugriffs- 
rechte von jedem beliebigen Datenraum-Zugriffssystem 1,2 65 
aus vergeben. Dcnkbar ware cs z. B., daB solche Daten- 
raum-Zugriffssysteme 1, 2 neben ihrem Standort in Arztpra- 
xen oder Krankenhausern auch in Apotheken aufgestellt 
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werden, oder daB auf ein Praxisnetz auch iiber das Internet 
zugegriffen werden kann, wodurch jeder internetfahige 
Computer zu einem Datenraum-Zugriffssystem oder zumin- 
dest zu einem Zugriffssystem werden konnte, welches kei- 
nen Speicherplatz zur Verfugung stellt. Der Inhaber der 
Rechte an in einem Datenraum-Zugriffssystem 1, 2 gespei- 
cherten Daten, hier also der Patient, ist aufgrund seiner Au- 
torisierung und Identifikation die einzigc Person, der die Zu- 
griffsrechte vom Informationscenter 3 angezeigt werden 
und/odcr die sic im Informationscenter 3 modifiziercn kann. 

Die Fig. 5 zeigt den fiir einen erfolgreichen Zugriff auf 
bestimmte Daten notigen Ablauf. 

Nach der Definition der Zugriffsrechte an den am Tag X 
vom Arzt A aufgenommenen Rontgenbild des Patienten N 
mit der Identifizierung NXAX fur den Arzt B durch den Pa- 
tienten N startet der Arzt B in einem Schritt S 10 eine erneute 
Anfrage an das Informationscenter, alle Referenzen zu den 
Rontgenbildern des Patienten N anzugeben. In einem Schritt 
Sll stellt das Informationscenter eine Liste der Referenzen 
aller zur Zeit in alien Datenraum-Zugriffssystemen vorhan- 
denen Rontgenbilder des Patienten N zusammen, uberpriift 
die Zugriffsberechtigungen hinsichdich des anfragenden 
Arztes B und wahlt lediglich die Rontgenbilder aus, auf die 
der Arzt B zugreifen darf, urn die zugehorigen Referenzen 
an das Datenraum-Zugriffssystem 2 zu ubertragen, von dem 
aus der ArztB die Anfrage an das Informationscenter ausge- 
fiihrt hat. In diesem Fall wird z. B. nur die Identifizierung 
NXAX des am Tag X vom Arzt A crstellten Rontgenbildes 
des Patienten N zusammen mit dem Speichero'rt/der 
Adresse, hier das Datenraum-Zugriffssystem 1 mit der Ken- 
nung DRZS1, an das Datenraum-Zugriffssystem 2 ubertra- 
gen, welches dem Arzt B diese Information anzeigt. Der 
Arzt B kann also nur die Referenzen zu Daten sehen, auf die 
der Patient N dem Arzt B Zugriffsrechte gewahrt. hat. Die 
Referenzen konnen z. B. die Art der Daten, hier Rontgen- 
bild, das Datum der Untersuchung, hier den Tag X, den un- 
tersuchenden Arzt, hier den Arzt A, den Speicherort der Da- 
ten, hier das Datenraum-Zugriffssystem 1 mit der Kennung 
DRZS1, oder auch noch weitere Daten enthalten. In einem 
Schritt S12 wahlt der Arzt B das Rontgenbild mit der Iden- 
tifizierung NXAX aus, woraufhin das Datenraum-Zugriffs- 
system 2 eine Anfrage des Arztes B iiber das Rontgenbild 
mit der Identifizierung NXAX an das Datenraum-Zugriffs- 
system mit der Kennung DRZS1, hier das Datenraum-Zu- 
griffssystem 1 sendet. In einem Schritt S13 sendet das Da- 
tenraum-Zugriffssystem 1 daraufhin eine Anfrage an das In- 
formationscenter 3, um zu bestatigen, daB der ArztB die Zu- 
griffsrechte auf das Rontgenbild mit der Identifizierung 
NXAX besitzt. Das Informationscenter 3 antwortet in einem 
Schritt S14 mit einer Bestatigung, woraufhin das Daten- 
raum-Zugriffssystem 1 in einem Schritt S15 die Daten des 
Rontgenbildes mit der Identifizierung NXAX an das Daten- 
raum-Zugriffssystem 2 iibertragt. Dieses stellt die empfan- 
genen Daten des Rontgenbildes in akzeptabler Form dar 
und/oder laBt den Arzt B die Daten zur weiteren Verarbei- 
tung speichern, wobei eine solche Speicherung nicht in dem 
sicheren Speicher des Datenraum-Zu griff ssy stems 2, son- 
dern auf einem anderen Speichermedium erfolgen muB, 
denn sonst waren die Daten mehrfach im System vorhanden. 

Hat eine berechtigte Person die empfangenen Daten ein- 
mal fur die weitere Verarbeitung gespeichert, so kann sie na- 
tiirlich immer wieder auf diese gespeicherten Daten zugrei- 
fen. Ein Zugriff iiber das Praxisnetz ist jedoch nur solange 
moglich, wie es der Inhaber der Rechte an diesen Daten iiber 
die Definition der Zugriffsrechte erlaubt. 

Da also nach dem erfindungsgemaBen Vcrfahren ein Spei- 
chern von bestimmten Daten nur mit der Zustimmung des 
Inhabers der Rechte an diesen Daten moglich ist und auch 
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ein Abrufen solcher Daten nur mit Zusummung des Inha- 
bers der Rechte an diesen Daten moglich ist, werden die Per- 
sonlichkeltsrechte z. B. eines Patienten gewahrt. Das Sy- 
stem arbeitet fur jeglichen Benutzer vollkommen transpa- 
rent, wobei der einzelne Benutzer keine Kenntnisse iiber die 5 
Sicherheits- oder Ubertragungsverfahren haben muB. Durch 
die Verschlusselung der gesendeten Daten konnen unbe- 
rcchligte Personen nicht "mithoren" und durch die Defini- 
tion von bestimmtcn Zugriffsrcchten fur bcstimmte Daten 
durch den Inhaber der Rechte an ihnen konnen keine unbe- io 
rechtigten Datenzugriffe geschehen. 

Das erfindungsgernaBe Verfahren zum abgesicherten Zu- 
griff auf Daten in einem Netzwerk kann naturlich auch auf 
andere nicht-medizinische Netzwerke angewandt werden, 
da hier ein System zur Steuerung der Verteilung individuel- 15 
ler Daten vorgeschlagen ist. Ein anderer Anwendungsbe- 
reich ist z. B. die Verteilung von Personendaten zu ihrer 
Identifikation, wodurch die Ubertragung dieser Daten z. B. 
zwischen unterschiedlichen Verwaltungsbehorden ohne eine 
zentralisierte Datenbank der einzelnen Burger flexibler ge- 20 
staltet werden kann. Durch das erfindungsgernaBe System 
hat der nur betroffene Burger selbst und allein die Verfii- 
gungsgewalt iiber seine individuellen Daten. 

Patentansprtiche 25 

1 . Verfahren zum abgesicherten ZugrifF auf Daten in 
einem Netzwerk mit einem Informationsccntcr (3) und 
wenigstens einem Datenraum-Zugriffssystem (1, 2), 
dadurch gekennzeichnet, daB allein der Inhaber der 30 
Rechte an zu speichernden Daten das Speichern dieser 
Daten in einem ihm hierzu nicht zuganglichen Daten- 
raum-Zugriffssystem (1, 2) erlauben und die Zugriffs- 
rechte Dritter auf diese Daten in einem Tnformation- 
scenter (3) definieren kann. 35 

2. Verfahren nach Anspruch 1, dadurch gekennzeich- 
net, daB eine Autorisierung der Speicherung von Daten 
und der Definition der Zugriffs rechte Dritter an den 
Daten iiber eine Identitatspriifung des Inhabers der 
Rechte an den Daten erfolgt. 40 

3. Verfahren nach Anspruch 1 oder 2, dadurch gekenn- 
zeichnet, daB zu speichernde Daten zusammen mit ei- 
nem elektronischen Formular, welches den Typ der Da- 
ten enthalt, in dem Datenraum-Zugriffssystem (1) ge- 
spcichert werden. 45 

4. Verfahren nach einem der Anspruchc 1 bis 3, da- 
durch gekennzeichnet, daB das Informationsccntcr (3) 
das Vorhandenscin von Daten eines bestimmten Typs 
in einem Datenraum-Zugriffssystem (1) registriert, wo- 
nach der Inhaber der Rechte an den gespeicherten Da- 50 
ten in dem Informationscenter (3) Zugriffsrechte Drit- 
ter auf die Daten definieren kann. 

5. Verfahren nach einem der Anspruche 1 bis 4, da- 
durch gekennzeichnet, daB das Informationscenter (3) 
nach einer An f rage eines anfragenden Daten raum-Zu- 55 
griffssystem (2) nach Daten eines bestimmten Typs 
eine Liste der vorhandenen Daten dieses bestimmten 
Typs unter Angabe des diese Daten jeweils speichern- 
den Datenraum-Zugriffssy stems (1) an das anfragende 
Datenraum-Zugriffssystem (2) ubertragt, fur die die 60 
Zugriffsrechte des anfragenden Datenraum-Zugriffssy- 
stem (2) zu den im Informationscenter (3) fur diese Da- 
ten definierten Zugriffsrechten korrespondieren. 

6. Verfahren nach einem der Anspruche 1 bis 5, da- 
durch gekennzeichnet, daB von einem Daten speichern- 65 
den Datenraum-Zugriffssystem (1) bei einer Anfrage 
nach bestimmten Daten eines bestimmten Typs eines 
anfragenden Datenraum-Zugriffssy stems (2) eine 
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Uberprufung der Zugriffsrechte durch eine Anfrage an 
das Informationscenter (3) erfolgt, ob das anfragende 
Datenraum-Zugriffssystem auf die bestimmten Daten 
eines bestimmten 1Yps Zugriffsrechte hat, und die be- 
stimmten Daten eines bestimmten Typs von dem diese 
Daten speichernden Datenraum-Zugriffssystem (1) nur 
an das anfragende Datenraum-Zugriffssy stem (2) uber- 
tragen werden, wcnn das diese Daten spcichcmde Da- 
tenraum-Zugriffssystem (1) von dem Informationscen- 
ter (3) cine Bestatigung crhaltcn hat. 

7. Verfahren nach einem der Anspruche 1 bis 6, da- 
durch gekennzeichnet, daB ein bestimmte Daten eines 
bestimmten Typs empfangendes Datenraum-Zugriffs- 
system (2) nur direkt nach einem jeweiligen Daten- 
empfang einen Zugriff auf die empfangenen Daten er- 
laubt. 

8. Verfahren nach einem der Anspruche 1 bis 7, da- 
durch gekennzeichnet, daB von einem bestimmte Daten 
eines bestimmten Typs selbst speichernden Daten- 
raum-Zugriffssystem (1) ein Zugriff auf die bestimm- 
ten Daten eines bestimmten Typs nur gewahrt wird, 
wenn eine positive Uberprufung der Zugriffsrechte 
durch eine Anfrage an das Informationscenter (3) er- 
folgt ist, ob das die bestimmten Daten eines bestimm- 
ten Typs selbst speichemde Datenraum-Zugriffssystem 
(1) fur die bestiimnten Daten eines bestiitunten Typs 
Zugriffsrechte vorweisen kann. 

9. Verfahren nach einem der Anspruche 1 bis 8, da- 
durch gekennzeichnet, daB das Informationscenter (3) 
von einem neue Daten aufweisenden Datenraum-Zu- 
griffssystem (1) iiber das Vorhandensein neuer Daten 
eines bestimmten Typs benachrichtigt wird, woraufhin 
das Informationscenter (3) eine benachrichtigenden 
Bestatigung an das betreffende Datenraum-Zugriffssy- 
stem (1) sendet. 

10. Verfahren nach einem der Anspruche 1 bis 9, da- 
durch gekennzeichnet, daB die Daten anhand einer vom 
Informationscenter (3) zugewiesenen nur einfach vor- 
handenen Identifizierung identifiziert werden, die von 
dem Informationscenter (3) nach einer Registrierung 
von neuen Daten an das diese Daten speichernde Da- 
tenraum-Zugriffssystem (1) iibertragen wird, damit 
dieses die jeweilige Identifizierung an die jeweiligen 
Daten anhangt. 

11. Verfahren nach einern der Anspruchc 1 bis 10, da- 
durch gekennzeichnet, daB das In fori nation seen ter (3) 
nach einer Anfrage iiber Daten eines bestimmten Typs 
von einem Date nraum-Zufgriffs system (2) cine Liste 
aller vorhandenen Daten dieses bestimmten Typs er- 
stellt, bevor es die Zugriffsrechte auf die Daten des be- 
stimmten Typs uberpriift, urn die Liste der vorhande- 
nen Daten dieses bestimmten Typs unter Angabe des 
diese Daten jeweils speichernden Datenraum-Zugriffs- 
systems (1) an das anfragende Datenraum-Zugriffssy- 
stem (2) zu iibertragen, fur die das anfragende Daten- 
raum-Zugriffssystem (2) die Zugriffsrechte vorweisen 
kann. 

12. Verfahren nach einem der Anspruche 1 bis 11, da- 
durch gekennzeichnet, daB bei einem gewiinschten Da- 
tenzugriff von einem Datenraum-Zugriffssystem (1) 
auf Daten eines bestimmten Typs zunachst eine An- 
frage nach solchen Daten des bestimmten Typs an das 
Informationscenter (3) geschickt wird. 

13. Verfahren nach einem der Anspruche 1 bis 12, da- 
durch gekennzeichnet, daB bei einer gewiinschten Da- 
ten ubertragung von einem Daten speichernden Daten- 
raum-Zugriffssy s ten (1) an ein anfragendes Daten- 
raum-Zugriffssystem (2) von diesem zunachst eine An- 
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frage nach bestimmten Daten eines bestimmten Typs 
an das diese bestimmten Daten eines bestimmten Typs 
speichernde Datenraum-Zugriffssystem (1) geschickt 
wird. 

14. Verfahren nach einem der Anspriiche 1 bis 13, da- 5 
durch gekennzeichnet, daB die Daten in einem Daten- 
raum-Zugriffssystem (1, 2) in einem sichcrcn Daten- 
spcicher gcspeichcrt werden, wobei auf die darin gc- 
speichcrten Daten kein dirckter Zugriff moglich ist. 

15. Verfahren nach einem der Anspriiche 1 bis 14, da- to 
durch gekennzeichnet, daB der Typ der Daten durch ih- 
ren Inhalt und/oder den Inhaber der Rechte an den Da- 
ten bestimmt wird. 

16. Verfahren nach einem der Anspriiche 1 bis 15, da- 
durch gekennzeichnet, daB die Zugriffsrechte an ge- 15 
speicherten Daten durch den Inhaber der Rechte an den 
Daten zu einem beliebigen Zeitpunkt nach ihrer Regi- 
strierung in dem In formation scenter (3) definiert wer- 
den konnen und danach durch eine Neudefinition von 
dem Inhaber der Rechte an den Daten beliebig wieder 20 
geandert werden konnen. 

17. Verfahren nach einem der Anspriiche 1 bis 16, da- 
durch gekennzeichnet, daB die Zugriffsrechte an ge- 
speicherten Daten durch den Inhaber der Rechte an den 
Daten mit ihrer Speicherung in einem Datenraum-Zu- 25 
griffssystem (1, 2) vergeben werden konnen. 

18. Verfahren nach einem der Anspriiche 1 bis 17, da- 
durch gekennzeichnet, daB die Koinmunikation zwi- 
schen einem Datenraum-Zugriffssystem (1, 2) und dem 
Informationscenter (3) oder einem anderen Daten- 30 
raum-Zugriffssystem (2, 1) verschlusselt erfolgt. 

19. Verfahren nach Anspruch 18, dadurch gekenn- 
zeichnet, daB der Sender die von ihm gesendete Infor- 
mation mittels einem geheimen Signaturschlussels mit 
einer digitalen Signatur versieht, wodurch der Empfan- 35 
ger die gesendete Information mittels eines dazugeho- 
renden dffentlichen Signaturschlussels iiberpriifen 
kann. 

20. Verfahren nach Anspruch 18 oder 19, dadurch ge- 
kennzeichnet, daB daB der Sender alle iibertragenen 40 
Daten mittels eines vom Empfanger ausgegebenen 6f- 
fentlichen Verschiusselungsschlussel kodiert, wodurch 
nur der Empfanger die iibertragenen Daten mittels ei- 
nes geheimen Verschlusselungsschliissels dekodieren 
kann. 45 

21. Verfahren nach einem der Anspriiche 18 bis 20, 
dadurch gekennzeichnet, daB sowohl jedes Datenraum- 
Zugriffssystem (1, 2) und das Informationscenter (3) 
als auch jeder Teilnehmer je einen geheimen und je ei- 
nen offentlichen Signaturschlussel und Verschlussel- 50 
ungsschliissel aufweisen. 

22. Verfahren nach Anspruch 21, dadurch gekenn- 
zeichnet, daB die geheimen Signaturschlussel und Ver- 
schliisselungsschliissel und/oder offentlichen Signatur- 
schlussel und Verschliisselungsschliissel eines Teilneh- 55 
mers auf einem Datentrager, wie z. B. einer Chipkarte, 
gespei chert sind. 

23. Verfahren nach einem der Anspriiche 1 bis 22, da- 
durch gekennzeichnet, daB sich ein auf das Netzwerk 
zugreifender Teilnehmer autorisieren muB und seine 60 
Identitat vom Informationscenter iiberpriift wird. 

24. Verfahren nach Anspruch 23, dadurch gekenn- 
zeichnet, daB die Identitat eines Tellnehmers auf einem 
Datentrager, wie z. B. einer Chipkarte, gespeichert ist. 

25. Verfahren nach einem der Anspriiche 1 bis 24, da- 65 
durch gekennzeichnet, daB die Erlaubnis der Speiche- 
rung der Daten durch den Inhaber der Rechte an den 
Daten spatestens bei einer Registrierung der Daten in 
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dem Informationscenter (3) erfolgt, wobei das Infor- 
madonscenter (3) ohne korrekte Autorisierung keinen 
spateren Datenzugriff auf diese Daten erlaubt. 
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